Üdv!
Következő a setup:
R1 router kapcsolódik a netre, R2 router LAN-on kapcsolódik R1-re, C1 és C2 IP kamerák WIFI-n kapcsolódnak R2-re.
C1 80-as porton nézhető böngészőből, míg C2 554-esen pl VLC-vel rtsp folyamként.
Sajnos mindkét kamerát csak úgy tudtam működésre bírni, ha az IP-jét DMZ-re állítottam. Azaz R1-en beállítottam R2 IP-jét DMZ-re. Továbbá a 80-as és 554-es portot forwardoltam R2 IP-jére.
R2-n szintén beáálítottam a 80-as és 554-es portforwardot C1 ill. C2 IP-jére, de sajnos csak akkor működik az elérés, ha R2-n is bállítom a DMZ-t vagy C1 vagy C2 IP-jére.
Ezek alapján hogyan lehetne egyszerűen megoldani, hogy mindkét kamera elérhető legyen netről?
Egy megoldást találtam, de körülményes:
R2-nek engedélyeztem a távoli belépést 88-as portra, amit pedig R1-en forwardoltam R2-re, így netről hozzáférek R2 webes adminfelületére, ahol a DMZ IP címet tudom módosítani, így lehet váltogatni C1 és C2 között. Nekem viszont valami statikusan működő megoldás kellene pl. DMZ tartomány, ha létezik ilyen.
- 906 megtekintés
Hozzászólások
Én port forward-dal oldottam meg. Nálam a kamera az 554-es porton ad rtsp-t, a 88-as porton meg cgi parancsokat fogad... a routerben (dd-wrt) a dhcp-nél fix ip-t kapott, 192.168.1.51
Application Protocol Source Net Port from IP Address Port to Enable
FOS01_rtsp both 0.0.0.0/0 11554 192.168.1.51 554 *
FOS01_cgi both 0.0.0.0/0 11088 192.168.1.51 88 *
FOS02_rtsp both 0.0.0.0/0 12554 192.168.1.52 554 *
FOS02_cgi both 0.0.0.0/0 12088 192.168.1.52 88 *
elérni kintről meg úgy tudom hogy:
ffplay rtsp://user:password@123.45.67.89:11554/videoMain
w3m "http://123.45.67.89:11088/cgi-bin/CGIProxy.fcgi?cmd=ptzMoveUp&usr=username&pwd=password
A két router hogy van nálad összekötve? Az R1 hálózatát bőviti az R2, vagy az R2 csinál alhálót?
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
- A hozzászóláshoz be kell jelentkezni
R2 alhálót csinál. Azért állítottam be így, mert R1-et nem lehet távolról menedzselni (Huawei E-valamilyen mobil router, fejből nem tudom), nem találtam remote management funkciót illetve engedélyezhetőséget, míg R2 az D-Link DIR-605L, aminek jól használható a távfelügyelete.
- A hozzászóláshoz be kell jelentkezni
Ha az R1 tud port-forwardolni, akkor azon pl. :
Application Protocol Source Net Port from IP Address Port to Enable
FOS01_rtsp_R1 both 0.0.0.0/0 21554 R2.ip.cime.amit_R1_adneki 11554 *
FOS01_cgi_R1 both 0.0.0.0/0 21088 R2.ip.cime.amit_R1_adneki 11088 *
FOS02_rtsp_R1 both 0.0.0.0/0 22554 R2.ip.cime.amit_R1_adneki 22554 *
FOS02_cgi_R1 both 0.0.0.0/0 22088 R2.ip.cime.amit_R1_adneki 12088 *
... mondjuk, van egy olyan sejtésem, hogy a Huawei kacat nem tud ilyet.
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
- A hozzászóláshoz be kell jelentkezni
A harmadik sor vége 12554 akart lenni? Mert ha nem akkor nem értem erre a sorra mi szükség van.
Elvileg tudja ezt az R1, este megnézem.
- A hozzászóláshoz be kell jelentkezni
igen, az akart lenni.
Ugye, így kívülről már nem a 1xxxx hanem a 2xxxx porton kell a kérést csinálni.
Persze, más logikát is lehet használni a portcímek megadásánál...
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
- A hozzászóláshoz be kell jelentkezni
Amit csinálsz azt dupla NAT-nak hívják és kerülendő. Érdemesebb R2-őt AP módban használni. Ha maga az eszköz ezt nem támogatja a webes felületén, akkor ki kell kapcsolni benne a DHCP szervert, IP címét LAN-on az R1 hálózatába tenni (azt pedig R1-en rezerválni vagy DHCP poolon kívül tenni, de azonos alhálózatba). Így menedzselhető marad R2. Ekkor pedig R1 LAN portját össze kell kötni R2 LAN portjával.
Egyébként a hibád nem ebből adódik. Javaslom mindkét kamerában állítsd át a portokat magasra (ne legyen egyszerűen szkennelhető). C1-en: 30080 és 30554, C2-őn 30081 és 30555. Ezután port forward ezekre a portokra (tehát erre a 4-re) először R1-en R2 IP-re. Utána R2-őn 30080 és 30554 C1 IP-re, míg 30081 és 30555 C2 IP-re. (persze ha nem raktad AP módba R2-őt, mert ha igen, akkor csak a második részt kell megcsinálnod és csak R1-en).
Ezután kívülről http://IP:30080 és http://IP:30081-en éred el böngészőből. RTSP-nél meg úgyis meg lehet adni VLC-ben a portot.
Lehet úgyis csinálni, hogy magukban az eszközökben nem változtatsz portot, hanem a routerben adsz meg más külső portot a belső porthoz. Azonban ezt sem ajánlom, mert van hogy az eszközök sértik a rétegezés elvét és más portjára próbál csatlakozni. (például ActiveX az eszköz RTSP portjára, ami ha más kívülről, mint belülről, akkor megszívta).
DMZ-t ha lehet soha nem használunk. Főleg kínai eszközöknél nem, ahol általában nyitott telnet van publikusan elérhető jelszóval. Még a web port továbbítása is veszélyes kínai eszközöknél a sok backdoor és bug miatt, ezért ha pénztárca engedi én mindig VPN-t ajánlok.
- A hozzászóláshoz be kell jelentkezni
C1-nek (D-Link DCS-8200LH) nincs semmilyen admin felülete, sajnos erre vásárlás után kellett rájönnöm. Hála a D-link Supportnak azt sikerült kideríteni, hogy specifikációtól eltérően rtsp az megy rajta. De csak a standard porton, így ezt megváltoztatni nem tudom. És C1 IP-jét sem tudom fixálni, legfeljebb úgy, ha MAC-hez társítom. De sajnos R1-en nincs MAC társítási lehetőség. Annyi van csupán, hogy szerencsére nem nagyon változnak a DHCP-vel kiosztott címek R1-en.
A custom portokkal pedig más gondom lesz. Munkahelyről szeretném elérni az otthoni kamarátak, a munkahelyi háló viszon agyon van korlátozva. Pl. az 554-es port az tiltólistás, így erre még találnom kell valamilyen megoldást. ("a routerben adsz meg más külső portot a belső porthoz" - ez lenne a port triggering?)
Azért a dupla NAT-ot megpróbálom megszüntetni a fenti módon, hátha az segít valamit.
- A hozzászóláshoz be kell jelentkezni
Nem, ez a port forwarding.
Milyen típusú routerek ezek (R1 és R2)? Milyen sebességű neted van (fel-/letöltés)?
- A hozzászóláshoz be kell jelentkezni
R1: Huawei E5186s-22a, hw: CL1E5175HM, sw: 21.316.01.00.00, web UI ver.: 16.100.02.00.03
R2: D-Link DIR-605L hw: Ax, sw: 1.12
C1: D-Link DCS-8200LH, hw: A1, sw: 1.02 build 3
C2: D-Link DCS-932LB, hw: rev. B, sw: 2.18.01
Internet: Ephone, sebesség a R1 mellett 2,4G-s wifin speedtesttel mérve jellemzően: 30/40 Mbps (U/D)
Asus UX32A latopom van, nincs benne LAN.
- A hozzászóláshoz be kell jelentkezni
Itt láthatod:
https://setuprouter.com/router/huawei/e5186s-22a/virtual-server-74193-large.htm
https://www.manualslib.com/manual/399626/D-Link-Dir-605l.html?page=36#manual
WAN port / public port a külső port
LAN port / private port a belső port
Kamerákat R2-őn DHCP reservation-be:
https://www.manualslib.com/manual/399626/D-Link-Dir-605l.html?page=33#manual
Ha nem tudod állítani a portokat a kamerákon, akkor egyszerűen R2-őn public porthoz mást írj!
Tehát R2-őn:
C1 IP-re public: 30080 private: 80, public 30554, private: 554.
C2 IP-re public: 30081 private: 80, public 30555, private: 554.
R1-en pedig:
R2 IP-re public: 30080 private: 30080, public: 30081 private: 30081, public: 30554 private: 30554, public: 30555 private: 30555,
Ahhoz hogy R2 IP-je ne változzon, állíts be WAN portjára statikus IP címet (legyen R1 DHCP poolján kívül, de ugyanabban az alhálózatban), ahol az átjáró R1.
(ugye ezt azért, mert R1-ben nincs DHCP reservation)
Ha szerencséd van, akkor a vállalati tűzfalatok ezeket a 30000 feletti (nem well known) portokat nem tiltja.
Egyébként hogy találsz haza, valamilyen dinamikus DNS-t használsz?
- A hozzászóláshoz be kell jelentkezni
"Egyébként hogy találsz haza, valamilyen dinamikus DNS-t használsz?"
Per pill úgy, hogy szerencsére elég ritkán változik R1 publikus IP-je.
Illetve, C2-höz jár un. dlinkddns szolgáltatás, mely működik C1-en és R2-n is. Jelenlegi setup szerint természetesen nem megyek vele semmire, de kipróbáltam: ha C2 R1-en van, akkor szépen frissül a DDNS.
- A hozzászóláshoz be kell jelentkezni
Megkíséreltem beállítani a fentieket. Vegyes a siker.
R1 poolján kívül tettem R2 WAN IP-jét. Majd valószínűleg elnyomtam valamit, mert eztán R2 WAN IP-jét már nem lehetett megváltoztatni, csak a factory reset segített. Eztán a dupla natolást megtartottam, mondván előbb úgy érjek el valamit.
Factory reset után jött a felismerés, hogy R2 port forwarding menüjében hiába állítottam be a portokat, a sor elején nem jelöltem be a checkboxokat. Láma hiba tudom. Helyes beállítás óta már nincs szükség DMZ-re egyik routeren sem.
Jelenlegi konfig a holnapi munkahelyi eléréshez:
R1-re R2 LAN-on utóbbi WAN portjára csatlakozik (R2 WAN IP: 192.168.8.100). C2 R1-hez, C1 R2-höz kapcsolódik wifin, így C2-n jól működik a DDNS.
| Name | WAN port | LAN IP | LAN port | Protocol | Status |
|---|---|---|---|---|---|
| C1_30080 | 30080 | 192.168.8.100 | 30080 | TCP/UDP | On |
| C1_30554 | 30554 | 192.168.8.100 | 30554 | TCP/UDP | On |
| C2_80 | 80 | 192.168.8.201 | 80 | TCP/UDP | On |
| R2_88 | 88 | 192.168.8.100 | 88 | TCP/UDP | On |
| Name | LAN IP | Public | Privat | Type |
|---|---|---|---|---|
| C1_80 | 192.168.0.101 | 30080 | 80 | any |
| C1_554 | 192.168.0.101 | 30554 | 554 | any |
R2-n C1 MAC társítással kap fix IP-t, R1-en C2 statiks IP-re, poolon kívülre van állítva. R2 szerencsére (látszólag) mindig ugyanazt az IP-t kapja R1-től, így egyenlőre ezt a részt nem piszkáltam.
Telefonom külső hálozatáról kipróbálva így böngészőből elérem R2 és C2 webes felületét, C2 MJPG stream-jét, illetve C1 RTSP-jét is. Holnap kiderül, hogy mi a helyzet a céges háló felől nézve.
Egy apró, ám szinte jelentéktelen negatívum: mivel C1 RTSP portja kívülről nem szabvány, így C1 hivatalos applikációján nem elérhető a kamera. Viszont telefonon, VLC-ről ez megoldható, így működik a stream, így a gagyi, feltehetően kevésbé secure appra nincs is szükség.
UPDATE: működik az app is a custom port forward ellenére. Valahogy megtanulta.
- A hozzászóláshoz be kell jelentkezni